역대 최대… 北 라자루스 해킹 유력
암호화 자산 옮기던 중 공격받아
“거래소별 자산 분산 보유가 대안”

세계 2위 규모의 가상자산(암호화폐) 거래소인 바이비트가 14억 6000만 달러(약 1조 1000억원)에 달하는 역대 최대 규모의 해킹 피해를 당했다. 2014년 마운트곡스(4억 7000만 달러), 2021년 폴리 네트워크(6억 1100만 달러) 사건을 훨씬 넘어서는 금액이다.

23일 암호화폐 업계에 따르면 벤 저우 바이비트 최고경영자는 21일(현지시간) “해커가 바이비트의 지갑 중 하나를 공격했다”며 “이더리움(ETH) 및 다른 ERC-20(이더리움 토큰 발행 표준) 계열 암호화폐를 탈취당했다”고 밝혔다.

암호화폐 지갑은 보안성을 높이기 위해 암호화된 개인 키(key)를 사용한다. 키 저장 방식에 따라 오프라인 상태의 ‘콜드월렛’, 온라인 상태의 ‘핫월렛’으로 나뉜다. 통상 거래소들은 이용자들이 수탁한 자산의 70~80%를 상대적으로 보안성이 높은 콜드월렛에 보관하고 나머지는 입출금이 빠른 핫월렛에 담아 둔다. 앞서 2019년 북한 해킹 조직인 라자루스의 공격을 받은 국내 1위 거래소인 업비트의 해킹 피해는 이더리움 34만 2000개(현재 시세로 약 1조 4700억원)를 핫월렛에서 다른 핫월렛으로 전송 중일 때 발생했다.

다만 어떤 형태의 월렛이든 자산을 입출금하려면 최소 한 번은 인터넷 접속에 해야 한다는 점에서 콜드월렛 역시 해킹 피해에서 자유로울 수 없다. 바이비트도 총자산의 약 9%에 해당하는 이더리움을 콜드월렛에서 웜월렛(콜드월렛의 보안성과 핫월렛의 빠른 거래 속도를 결합한 지갑)으로 옮기는 과정에서 해커의 공격을 받았다.

이번 사건의 주범은 업비트 사고 때와 마찬가지로 북한 해킹 조직 라자루스가 유력한 것으로 추정된다. 바이비트 조사를 돕는 블록체인 데이터 추적 플랫폼 아캄 인텔리전스는 “분석자 잭엑스비티가 (라자루스가 범인이란) 관련 증거를 제출했다고”고 밝혔다. 블록체인 분석 기업 체이널리시스에 따르면 북한에 의한 암호화폐 거래소 해킹 피해 금액은 2016년 200만 달러(1곳)에서 2023년 10억 달러(20곳)까지 커졌다.

황석진 동국대 국제정보보호대학원 교수는 “이용자 차원에서 자산을 거래소별로 분산해 가지고 있는 것이 현실적인 대안”이라며 “바이비트 해킹을 계기로 국내 거래소들이 자체적으로 보안을 강화하는 한편 당국 차원에서도 한국인터넷진흥원과 함께 거래소 보안 정기 점검에 나서야 한다”고 말했다.

김예슬 기자